ฝาแฝดลบฐานข้อมูลรัฐบาล 96 ฐาน ไม่กี่นาทีหลังถูกไล่ออก

 (arstechnica.com)
1 คะแนน โดย GN⁺ 10 시간 전 | 1 ความคิดเห็น | แชร์ทาง WhatsApp
  • Muneeb Akhter และ Sohaib Akhter ถูกกล่าวหาว่าใช้สิทธิ์เข้าถึงบัญชีที่ยังไม่ถูกปิดหลังถูกไล่ออก เพื่อลบฐานข้อมูลรัฐบาลสหรัฐ 96 ฐาน
  • ทั้งสองเคยรับสารภาพคดี ฉ้อโกงผ่านระบบสื่อสารและอาชญากรรมคอมพิวเตอร์ มาก่อน จากนั้นจึงเข้าทำงานที่บริษัทใน Washington, DC ซึ่งขายบริการให้ลูกค้ารัฐบาลกลาง 45 ราย
  • Muneeb รวบรวมชื่อผู้ใช้และรหัสผ่าน 5,400 ชุดจากเครือข่ายบริษัท แล้วใช้สคริปต์ Python ลองล็อกอินกับ DocuSign, สายการบิน, Marriott และบริการอื่น ๆ
  • วันที่ 18 กุมภาพันธ์ 2025 หลังถูกไล่ออก 5 นาที บัญชี VPN และ Windows ของ Sohaib ถูกปิดแล้ว แต่บัญชีของ Muneebยังใช้งานได้ และสามารถสั่ง DROP DATABASE dhsproddb ได้
  • หลังรับสารภาพ Muneeb อ้างปัญหาเรื่องทนายและยืนยันว่าบางข้อหาเขาไม่มีความผิด ขณะที่ Sohaib ถูกตัดสินว่ามีความผิดในข้อหาสมคบคิดฉ้อโกงคอมพิวเตอร์ ซื้อขายรหัสผ่าน และครอบครองอาวุธปืน

ทำไมต้องปิดบัญชีก่อนแจ้งเลิกจ้าง

  • ในสหรัฐ มักมีการปิดใช้งานข้อมูลยืนยันตัวตนดิจิทัลของพนักงานที่กำลังจะถูกไล่ออกหรือลดคน ก่อนแจ้งให้ทราบ
  • บางครั้งการล็อกอินเข้าระบบไม่สำเร็จคือสัญญาณแรกที่พนักงานรู้ว่าถูกเลิกจ้าง แต่ขั้นตอนนี้เกิดขึ้นเพราะพนักงานที่ถูกไล่ออกแล้วยังเข้าถึงระบบได้อาจกลายเป็นความเสี่ยงด้านความปลอดภัย
  • คดีของฝาแฝด Muneeb Akhter และ Sohaib Akhter แสดงให้เห็นว่าช่องว่างการเข้าถึงเพียงไม่กี่นาทีหลังถูกไล่ออกสามารถก่อความเสียหายได้อย่างไร

ภูมิหลังของพี่น้อง Akhter และสิทธิ์การเข้าถึง

  • Muneeb Akhter และ Sohaib Akhter ปัจจุบันอายุ 34 ปี และเคยรับสารภาพในปี 2015 ที่ Virginia จากแผนการเกี่ยวข้องกับฉ้อโกงผ่านระบบสื่อสารและอาชญากรรมคอมพิวเตอร์
  • Muneeb ถูกตัดสินจำคุก 3 ปี ส่วน Sohaib ถูกตัดสินจำคุก 2 ปี
  • หลังพ้นโทษ Muneeb เข้าทำงานที่บริษัทใน Washington, DC เมื่อปี 2023 และ Sohaib เข้าร่วมบริษัทเดียวกันในอีก 1 ปีถัดมา
  • บริษัทนี้ขายซอฟต์แวร์และบริการให้กับลูกค้ารัฐบาลกลาง 45 ราย
  • ตามข้อมูลของรัฐบาลสหรัฐ เมื่อวันที่ 1 กุมภาพันธ์ 2025 Muneeb ขอให้ Sohaib ส่งรหัสผ่านแบบ plaintextของบุคคลที่ยื่นคำร้องใน EEOC Public Portal
    • Sohaib รันคำสั่ง query กับฐานข้อมูล EEOC และส่งรหัสผ่านดังกล่าวให้ Muneeb
    • ต่อมารหัสผ่านนั้นถูกใช้เพื่อเข้าถึงบัญชีอีเมลของบุคคลดังกล่าวโดยไม่ได้รับอนุญาต

การรวบรวมข้อมูลยืนยันตัวตนและการลองล็อกอินแบบอัตโนมัติ

  • Muneeb กำลังรวบรวมชื่อผู้ใช้และรหัสผ่าน 5,400 ชุดจากข้อมูลในเครือข่ายบริษัท
  • เขาสร้างสคริปต์ Python แบบกำหนดเองเพื่อทดลองใช้ข้อมูลล็อกอินเหล่านี้กับเว็บไซต์ทั่วไป
  • marriott_checker.py เป็นแอปพลิเคชันที่ใช้ลองล็อกอินกับเครือโรงแรม Marriott
  • Muneeb ล็อกอินสำเร็จหลายร้อยครั้ง รวมถึงบัญชี DocuSign และบัญชีสายการบิน
  • หากบัญชีของเหยื่อมีไมล์สะสมสายการบิน Muneeb ก็ใช้จองการเดินทางของตัวเอง

การลบฐานข้อมูลที่เกิดขึ้นทันทีหลังถูกไล่ออก

  • ดูเหมือนว่านายจ้างของทั้งสองจะทราบประวัติอาชญากรรมของพวกเขาในช่วงใดช่วงหนึ่งของเดือนกุมภาพันธ์
  • วันที่ 18 กุมภาพันธ์ 2025 พี่น้องที่อาศัยอยู่ด้วยกันใน Virginia ถูกเรียกเข้าประชุมMicrosoft Teamsด้วยกันและถูกไล่ออกทันที
  • การประชุมจบลงเวลา 16:50 น. ซึ่งเป็นเวลาสิ้นสุดงานพอดี
  • ห้านาทีต่อมา Sohaib พยายามเข้าถึงเครือข่ายของอดีตนายจ้าง แต่สิทธิ์ VPN และบัญชี Windowsถูกปิดไปแล้ว
  • บัญชีของ Muneeb กลับไม่ถูกรวมอยู่ในรายการปิด และเขาก็เข้าถึงฐานข้อมูลของรัฐบาลสหรัฐได้ทันที
  • เวลา 16:56 น. Muneeb รันคำสั่งที่ทำให้ผู้ใช้อื่นไม่สามารถเชื่อมต่อหรือแก้ไขฐานข้อมูลได้ ก่อนจะรันคำสั่งลบฐานข้อมูล
  • เวลา 16:58 น. เขาลบฐานข้อมูลของ Department of Homeland Securityด้วยคำสั่ง DROP DATABASE dhsproddb
  • เวลา 16:59 น. เขาถามเครื่องมือ AI ว่า “จะลบ system log ของ SQL server หลังจากลบฐานข้อมูลอย่างไร”
  • จากนั้นยังถามต่อว่า “จะลบ event log และ application log ทั้งหมดบน Microsoft Windows Server 2012 อย่างไร”
  • ภายในหนึ่งชั่วโมง Muneeb ลบฐานข้อมูลราว 96 ฐานที่มีข้อมูลของรัฐบาลสหรัฐ
  • เขาดาวน์โหลดไฟล์ของ EEOC จำนวน1,805 ไฟล์เก็บไว้ใน USB drive และยังนำข้อมูลภาษีของรัฐบาลกลางของคนอย่างน้อย 450 คนออกไปด้วย

บทสนทนาระหว่างพี่น้องและความพยายามปกปิด

  • ระหว่างที่กำลังลบข้อมูล ทั้งสองยังคงพูดคุยกันต่อเนื่อง แต่รัฐบาลไม่ได้ระบุชัดว่าการสนทนาเหล่านี้เกิดขึ้นผ่านข้อความ แชตทันที หรือพูดคุยกันต่อหน้า
  • Sohaib พูดขณะมองดูสิ่งที่ Muneeb ทำว่า “ฉันเห็นอยู่ว่านายกำลังจัดการ backup ฐานข้อมูลของพวกเขา”
  • เมื่อรายการที่ถูกลบเพิ่มขึ้น Sohaib ก็พูดว่า “ดี ถ้ามันพอจะปฏิเสธได้อย่างน่าเชื่อถือ”
  • Muneeb ตอบว่า “กู้คืนจาก backup เมื่อวานได้” และ Sohaib ก็ตอบว่า “ใช่ ก็น่าจะได้”
  • Sohaib เสนอว่า “จะลบ filesystem ด้วยไหม” และ Muneeb ตอบว่า “เป็นความคิดที่ฉลาด
  • Sohaib พูดว่า “น่าจะมี kill script ด้วย น่าจะอะไรแบบขู่เรียกเงิน—” ส่วน Muneeb ตอบว่า “ไม่ อย่าทำแบบนั้น นั่นเป็นหลักฐานว่ามีความผิด”
  • หลังจากลบฐานข้อมูลและ event log แล้ว พี่น้องทั้งสองก็ได้ความช่วยเหลือจากผู้สมรู้ร่วมคิดที่ไม่เปิดเผยชื่อในการติดตั้งระบบปฏิบัติการของแล็ปท็อปบริษัทใหม่

การค้นบ้าน การตั้งข้อหา และผลการพิจารณาคดี

  • การค้นจริงของหน่วยงานสอบสวนกลางเกิดขึ้นหลังการไล่ออกและการลบข้อมูลผ่านไปแล้ว3 สัปดาห์
  • วันที่ 12 มีนาคม 2025 มีการบังคับใช้หมายค้นที่บ้านของ Sohaib ใน Alexandria
  • เจ้าหน้าที่สืบสวนยึดอุปกรณ์เทคโนโลยีหลายชิ้น และยังพบปืน 7 กระบอกกับกระสุนขนาด .30 จำนวน 370 นัด
  • Sohaib ไม่มีสิทธิครอบครองอาวุธปืนและกระสุนเหล่านี้เพราะมีประวัติอาชญากรรมมาก่อน
  • ระหว่างการสืบสวน ทั้งสองยังคงเป็นอิสระอยู่อีก 9 เดือน ก่อนจะถูกจับในวันที่ 3 ธันวาคมและถูกตั้งข้อหาความผิดหลายรายการ
  • ดูคำฟ้องได้ในเอกสาร CourtListener
  • Muneeb ลงนามในข้อตกลงรับสารภาพเมื่อวันที่ 15 เมษายน 2026 โดยยอมรับข้อหาหลักในคำฟ้อง
  • Sohaib ต่อสู้คดีจนถึงการพิจารณา แต่แพ้คดี
  • วันที่ 7 พฤษภาคม 2026 คณะลูกขุนตัดสินว่า Sohaib มีความผิดในข้อหาสมคบคิดฉ้อโกงคอมพิวเตอร์ ซื้อขายรหัสผ่าน และครอบครองอาวุธปืนโดยบุคคลต้องห้าม
  • Sohaib มีกำหนดรับคำพิพากษาในเดือนกันยายน

จดหมายจากเรือนจำของ Muneeb และข้อโต้แย้งต่อการรับสารภาพ

  • Muneeb ยื่นคำร้องลายมือจากเรือนจำ โดยอ้างว่าทนายของเขาไม่มีประสิทธิภาพ
  • เอกสารที่ยื่นในภายหลังยังตั้งคำถามต่อการรับสารภาพที่ Muneeb ลงนามไว้ด้วย
  • ในจดหมายสั้นหนึ่งย่อหน้าที่ส่งถึงผู้พิพากษาเมื่อวันที่ 27 เมษายน Muneeb เขียนว่า “ขอให้พระเจ้านำทางคำพูดของผม”
    • เขาเขียนว่า “ผมรู้สึกไม่สบายใจกับความเร่งรีบที่รัฐบาลคาดหวังให้ผมลงนามอย่างรวดเร็ว และกับการรับสารภาพของผม ขณะที่จำกัดความสามารถในการโต้แย้งพยานหลักฐานภายในกำหนดเวลาคำร้องก่อนการพิจารณาคดี”
    • เขาเสริมว่า “ผมยืนยันว่าพี่ชาย/น้องชายของผมไม่มีความผิด” แต่ไม่กี่วันต่อมา Sohaib ก็ถูกตัดสินว่ามีความผิด
  • จดหมายลายมือสั้นอีกฉบับที่ยื่นเมื่อวันที่ 5 พฤษภาคม ระบุว่า Muneeb ไม่มีความผิดในข้อหาที่ 10
    • เหตุผลคือ “การเข้าถึงบัญชี DocuSign ไม่ได้ให้สิ่งใดที่มีมูลค่า และเขาไม่ได้รับหรือมีเจตนาจะได้รับสิ่งที่มีมูลค่าจากมัน”
    • จดหมายฉบับนี้ไม่ได้กล่าวถึงการลบฐานข้อมูล 96 ฐาน
  • ในจดหมายฉบับที่สามที่ยื่นเมื่อวันที่ 5 พฤษภาคม Muneeb ขออนุญาตดำเนินคดีด้วยตนเองแบบ pro se

นายจ้าง Opexus และความล้มเหลวของกระบวนการ

  • เอกสารศาลไม่ได้เปิดเผยชื่อบริษัทที่จ้างพี่น้องคู่นี้ แต่รายงานข่าวระบุว่าเป็นOpexus
  • Opexus ให้ความเห็นเกี่ยวกับคดีนี้กับ Cyberscoop เมื่อเดือนธันวาคม
  • Opexus ระบุว่าได้ทำการตรวจสอบประวัติ แต่ยอมรับว่า “ควรมีการตรวจสอบเชิงลึกเพิ่มเติม
  • บริษัทรับด้วยว่า “การเลิกจ้างไม่ได้ถูกดำเนินการอย่างเหมาะสม”
  • บริษัทยังระบุว่า “ผู้จัดการที่รับผิดชอบการจ้างฝาแฝดคู่นี้ไม่ได้ทำงานอยู่ที่ Opexus อีกต่อไป”
  • ขั้นตอนการจ้างงาน การตรวจสอบประวัติ การเลิกจ้าง และการปิดบัญชี ล้วนเชื่อมโยงกันจนกลายเป็นความล้มเหลวโดยสิ้นเชิง

บทความที่เกี่ยวข้อง

1 ความคิดเห็น

 
GN⁺ 10 시간 전
ความคิดเห็นจาก Hacker News

  • ตรงที่ Opexus บอกว่า “ผู้จัดการที่รับคู่แฝดเข้าทำงานไม่ได้ทำงานที่ Opexus แล้ว” ฟังดูใกล้เคียงกับมุกคลาสสิกของ Monty Python ที่ว่า “คนที่รับผิดชอบการไล่คนที่เพิ่งถูกไล่ออก ก็ถูกไล่ออกเหมือนกัน”
    พักเรื่องตลกไว้ก่อน ผมกังวลว่านายจ้างจำนวนมากจะสรุปบทเรียนจากเหตุการณ์แบบนี้ไปในทางสุดโต่งและไร้มนุษยธรรมที่สุด เช่น ทำการเลิกจ้างและปลดพนักงานแบบสายฟ้าแลบที่สุด ตัดสิทธิ์การเข้าถึงทันที หรือไม่ให้โอกาสครั้งที่สองกับใครก็ตามที่มีประวัติอาชญากรรม แม้จะเป็นคดีครอบครองกัญชาเมื่อหลายสิบปีก่อนก็ตาม
    ผมคิดว่าควรใช้แนวทางที่สมดุลกว่านี้ ควรจำกัด สิทธิ์เข้าถึงแบบฝ่ายเดียว ต่อระบบสำคัญสำหรับทุกคนโดยรวม ไม่ใช่แค่คนที่เพิ่งถูกเลิกจ้าง และตอนเลิกจ้างก็ควรตัด credentials ที่อ่อนไหวเป็นพิเศษทันที แต่ไม่จำเป็นต้องลบบัญชีล็อกอินทั่วไปหรืออีเมลทั้งหมด อย่าจ้างคนที่เคยถูกตัดสินคดีฉ้อโกงเต็มรูปแบบมาเป็นผู้ดูแลระบบ และได้โปรด hash รหัสผ่านด้วย

    • ระหว่างการประชุมแจ้งเลิกจ้าง การตัดสิทธิ์เข้าถึงก่อนที่เจ้าตัวจะรู้ และเปลี่ยนรหัสผ่านหากจำเป็น เป็นอย่างน้อยก็เป็น ขั้นตอนมาตรฐานมา 20 ปีแล้ว
    • ถ้าคนคนหนึ่งมีสิทธิ์เข้าถึงระดับนั้น การไม่ “ทำการเลิกจ้างแบบฉับพลันที่สุดและตัดสิทธิ์ทันที” ต่างหากที่ไร้ความสามารถ สำหรับงานแบบนี้ นี่เป็นมาตรฐานเต็มตัวและจำเป็นต้องทำ
      ที่ที่ผมเคยทำงาน ส่วนใหญ่พนักงาน IT ก็เป็นแบบนี้เสมอ ระหว่างที่คุยกับ HR จะมีคนไปเก็บของที่โต๊ะให้ และเจ้าหน้าที่รักษาความปลอดภัยจะเดินไปส่งถึงข้างนอก
    • ตอนนี้ก็ทำกันแบบนั้นอยู่แล้ว
      ในอเมริกา เขาตัดสิทธิ์การเข้าถึงจากข้างหลังระหว่างประชุม Teams และถ้าเรซูเม่มีช่องว่าง มีปัญหา หรือแม้แต่รอยตำหนิเล็กน้อย AI agent สักตัวก็จะโยนทิ้งลงถังขยะ
    • ในยุคของ agentic AI ที่เป็นอันตราย การมีสิทธิ์เข้าถึงระดับนี้ถือว่าประมาทมาก ถ้าไม่มีมาตรการควบคุมทางวิศวกรรมที่ป้องกันไม่ให้เรื่องแบบนี้เกิดขึ้นตั้งแต่แรก แค่ฟิชชิงธรรมดาหรือการโจมตี supply chain ก็อาจทำผลลัพธ์แบบเดียวกันหรือแย่กว่านั้นได้ง่าย ๆ
    • พนักงานเป็นคนรู้ทีหลังเสมอ นี่คือขั้นตอนมาตรฐาน

  • น่าแปลกใจว่าคนแบบนี้ถูกจ้างเข้ามาได้อย่างไร ดูเหมือนไม่น่าใช่ชาวอเมริกันด้วยซ้ำ เลยยิ่งสงสัยว่าเข้าไปทำงานกับระบบอ่อนไหวได้อย่างไร
    เวลา 16:58 น. เขาลบฐานข้อมูล Department of Homeland Security ด้วยคำสั่ง “DROP DATABASE dhsproddb” และเวลา 16:59 น. ก็ถามเครื่องมือ AI ว่า “จะลบ system log ของ SQL Server หลังลบฐานข้อมูลได้อย่างไร?” ต่อมายังถามอีกว่า “จะลบ event log และ application log ทั้งหมดของ Microsoft Windows Server 2012 ได้อย่างไร?”
    ภายในเวลาไม่ถึงหนึ่งชั่วโมง Muneeb ลบฐานข้อมูลราว 96 ฐาน ที่มีข้อมูลของรัฐบาลสหรัฐ

    • ทั้งคู่เกิดที่ Maryland และดูเหมือนจะมีความสามารถพอตัว อย่างน้อยก็เก่งเรื่องผ่านการเรียนแบบโกง ๆ และอาจเก่งทางเทคนิคจริงด้วย
      https://www.somdnews.com/archive/news/19-year-old-twins-high...
    • ก็ DHS ไง อย่าทำเหมือนว่ามันเป็นองค์กรที่ขึ้นชื่อเรื่องจ้างคนเก่งหรือคนระดับท็อปเลย มันใกล้เคียงกับลิงชิมแปนซีโอเวอร์แอ็กต์ที่ใส่เนกไทถือปืนมากกว่า
    • น่าจะปกปิด ประวัติอาชญากรรมระดับ felony ในใบสมัครงาน แล้วไม่ว่าด้วยเหตุผลธรรมดาอะไรสักอย่าง บริษัทตรวจสอบประวัติก็ดันไม่เจอ หรือไม่ก็ผู้รับเหมางี่เง่าจนไม่ได้ตรวจเลย
    • อยากรู้ว่าคุณสรุปได้อย่างไรว่า “ดูไม่เหมือนคนอเมริกัน” แค่ดูจากชื่ออย่างนั้นหรือ?

  • วันที่ 12 มีนาคม 2025 มีการบังคับใช้หมายค้นที่บ้านของ Sohaib ใน Alexandria เจ้าหน้าที่พบอุปกรณ์เทคโนโลยีหลายชิ้น รวมถึงปืน 7 กระบอกและกระสุนขนาด .30 จำนวน 370 นัด จากประวัติอาชญากรรมเดิม Sohaib ไม่ควรครอบครองสิ่งเหล่านี้ได้
    ได้โปรดอย่าก่ออีกอาชญากรรมหนึ่งระหว่างที่กำลังก่ออาชญากรรมอยู่เลย

    • มันไม่ใช่แค่ “จากประวัติเดิม Sohaib ไม่ควรมีของพวกนี้” แต่คือไม่ควรมีใครมี คลังอาวุธส่วนตัว แบบนั้นเลย
    • เขาวิ่งหนีออกประตูหลัง แล้วบังเอิญมีเส้นเขตรัฐพอดี ผมแอบคาดหวังนิด ๆ ว่าจะมีฉากส่งปืนทางไปรษณีย์กลับบ้านตัวเองเพื่อกลบทุกอย่าง
    • มี selection bias อย่างแรงไปทางที่อาชญากรโง่ ๆ จะถูกจับได้
    • ควรก่ออาชญากรรมทีละอย่าง

  • รัฐบาลสหรัฐไร้ความสามารถเกินกว่าจะสร้างซอฟต์แวร์พื้นฐานให้ดีได้ จนผมแทบต้องมองเหตุการณ์นี้ว่าเป็นเรื่องดีด้วยซ้ำ ผมเชื่อว่าการบุกรุกก่อนหน้านี้อีกนับพันครั้งคงไม่ถูกตรวจพบได้ง่ายแบบนี้

  • ประโยคที่บอกว่าเวลา 16:58 น. เขาสั่ง “DROP DATABASE dhsproddb” เพื่อลบฐานข้อมูลของ Department of Homeland Security นี่ขำมาก มันทำให้นึกถึงพี่น้องสองคนที่กัดกันตลอดในหนัง Oceans ที่ Casey Affleck กับ Scott Caan เล่น
    น่าทึ่งที่คนพวกนี้เข้าใกล้ข้อมูลอ่อนไหวได้ขนาดนั้น

    • การที่เวลา 16:59 น. เขาถามเครื่องมือ AI ว่า “จะลบ system log ของ SQL Server หลังลบฐานข้อมูลได้อย่างไร?” แล้วต่อมายังถามว่า “จะลบ event log และ application log ทั้งหมดของ Microsoft Windows Server 2012 ได้อย่างไร?” นี่มีสัญญาณอันตรายเยอะจนพูดไม่ออก
    • “เป็นผู้ชายไหม?” “ใช่ 19” “ยังมีชีวิตอยู่ไหม?” “ใช่ 18!” “Evel Knievel.”
      สองคนนี้ก็ให้อารมณ์แบบ Rosencrantz and Guildenstern เหมือนกัน
    • ในหนัง สองคนนั้นเป็นไฮไลต์เสมอ โดยเฉพาะฉากที่คนหนึ่งไปรวมตัวกับอีกคนระหว่างจลาจลในโรงงานเม็กซิโก
    • เหมือนคนในวิดีโอจะเป็นสองคนนี้: https://youtu.be/Rx19zOzQeis

  • ไม่รู้จะเริ่มตรงไหนก่อน แต่ไอ้ตัวตลกสองคนนี้ไม่น่าจะมี security clearance ที่ทำให้เข้าถึงฐานข้อมูล production ของ DHS ได้อยู่แล้ว ทางอธิบายที่เป็นไปได้มีแค่ว่าพวกเขาขโมย credentials ของพนักงานอีกคนที่มีสิทธิ์ระดับนั้น
    อีกอย่าง บันทึกภาษีก็ไม่ได้เก็บในโดเมนของ DHS เรื่องเล่าดูเหมือนถูกขัดเกลาเพื่อปกปิดรายละเอียดบางอย่าง ซึ่งก็อาจเป็นไปได้ แต่คำอธิบายเบื้องหลังฟังแล้วเชื่อยาก

  • ราว 25 ปีก่อน บริษัทที่ผมทำงานมีการปลดพนักงาน DBA คนหนึ่งก็ถูกปลดพร้อมคนอื่น ๆ ในยุคนั้นยังไม่มีการถอนสิทธิ์เข้าถึงทันที และยังใช้คอมพิวเตอร์ที่ทำงานได้จนหมดวัน คนส่วนใหญ่ก็เก็บของแล้วกลับ
    แต่ DBA ที่ถูกปลดคนนั้นอยู่ต่อและทำงาน backup ฐานข้อมูล ที่รับผิดชอบให้เสร็จ ก่อนเก็บของออกไป เรื่องจริง

  • ผมไม่เข้าใจว่าเขาเข้าถึงรหัสผ่าน 5,000 รายการได้อย่างไร มันถูกส่งหรือเก็บเป็น plain text password หรือ? นี่เป็นส่วนที่เข้าใจยากที่สุดของบทความ
    อีกเรื่องที่ไม่ชัดคือ ถ้าไม่ตัดสิทธิ์บัญชีทันทีเมื่อสิ้นสุดการจ้างงาน จะผ่าน SOC 2 ได้อย่างไร

    • อ่านจากบทความแล้วเหมือนรหัสผ่านถูก เก็บเป็น plain text จริง ๆ
      “เมื่อวันที่ 1 กุมภาพันธ์ 2025 Muneeb Akhter ได้ขอให้ Sohaib Akhter ส่งรหัสผ่านแบบ plain text ของบุคคลที่ยื่นคำร้องผ่าน Public Portal ของ Equal Employment Opportunity Commission ซึ่งเป็นพอร์ทัลที่นายจ้างของพี่น้อง Akhter เป็นผู้ดูแลรักษา Sohaib Akhter ได้รันคิวรีกับฐานข้อมูล EEOC แล้วส่งรหัสผ่านดังกล่าวให้ Muneeb Akhter หลังจากนั้นรหัสผ่านดังกล่าวถูกนำไปใช้เพื่อเข้าถึงบัญชีอีเมลของบุคคลนั้นโดยไม่ได้รับอนุญาต”
    • นโยบายกับการปฏิบัติจริงอาจไม่เหมือนกัน บริษัทนี้และผู้บริหารทั้งหมดสมควรไปอยู่ใน blacklist ของใครสักคนสำหรับงานจัดซื้อในอนาคต
    • ดูเหมือนคุณจะยังไม่ค่อยเข้าใจว่า SOC 2 คืออะไร
      อย่างแรก SOC 2 แพร่กระจายเหมือนไวรัส และแทบไม่เคยถูกนำมาใช้เพราะข้อดีทางเทคนิคของมันเอง อย่างที่สอง มันมีหลายระดับ ระดับแรกคือประมาณว่า “เราเขียนเอกสารแผนไว้ว่าจะทำ security อย่างไร”
      ระดับที่สองอาจเป็นการเริ่มลงมือทำหรือเริ่มติดตามผล ประเด็นสำคัญคือระดับแรก ถ้าฝ่าย SOC 2 ของบริษัทบอกว่าต้องทำเรื่องโง่ ๆ เพื่อให้สอดคล้องกับ SOC 2 ความโง่นั้นก็มาจากใครบางคนในบริษัท และคนนั้นควรถูกไล่ออก ถึงอย่างนั้นก็ยังต้องทำตามแผนโง่ ๆ นั้น เพราะนั่นคือกระบวนการ
      ในกรณีนี้ เป็นไปได้ว่าในแผนมีคำตอบไว้แล้วทั้งเรื่อง “จะเลิกจ้างคนอย่างไร” และ “จะป้องกันไม่ให้โมเดลภาษาขนาดใหญ่ตัวเดียว DROP ฐานข้อมูล production 96 ฐานใน session เดียวได้อย่างไร” และแผนนั้นอาจถูกนำไปใช้แล้ว ดังนั้นบริษัทก็ยังคง สอดคล้องกับ SOC 2 อยู่ และสิ่งที่เราเห็นอาจเป็นเพียงภาพของกระบวนการ SOC 2 ที่ทำงานตามแบบที่มันควรแสดงให้เห็น
    • ขึ้นอยู่กับนโยบาย offboarding ถ้านโยบายระบุไว้ว่า 72 ชั่วโมง อะไรแบบนั้น ก็อาจไม่ถือว่าผิดนโยบาย
    • ถ้าไม่ใช่ plain text แล้วคุณอยากให้เก็บรหัสผ่านอย่างไรล่ะ? แน่นอนว่าหลังจากนั้นก็ควรเข้ารหัสต่อ 5,000 รายการถือว่าเยอะ และกระบวนการ authorization ก็พังจริง แต่เป็นคนละเรื่องกับวิธีเก็บรหัสผ่าน
      ทางออกเดียวคือการแยกสิทธิ์เข้าถึงให้ถูกต้องและมี bastion

  • ประเด็นมันไม่ใช่ว่า “พนักงานที่ถูกไล่ออกแล้วยังเข้าถึงระบบบริษัทได้คือความเสี่ยงด้านความปลอดภัย” แต่คือพนักงานคนใดก็ตามที่สามารถลบฐานข้อมูลได้ 96 ฐาน ต่อให้ยังทำงานอยู่ ก็เป็น ความเสี่ยงด้านความปลอดภัย
    แน่นอนว่าเส้นทางที่ไร้มนุษยธรรมซึ่งตัดทุกอย่างตอนสิ้นสุดการจ้างงานนั้นง่ายกว่าการแก้ให้ถูกจุดจริง ๆ

  • บริษัทเราก็เพิ่งมีการปลดพนักงานเหมือนกัน ยังเป็นบริษัทอายุน้อยจนหลัก least privilege ยังไม่ถูกใช้ และผู้คนยังเข้าถึง ฐานข้อมูล production ได้เพราะมีคำขอ support เข้ามา ถึงอย่างนั้นก็ไม่มีใครทำอะไรแย่ ๆ
    ทุกคนรู้ว่าเกิดอะไรขึ้น แต่ไม่มีการแก้แค้น อย่างแรก ถ้าอยากย้ายไปงานถัดไปโดยไม่มีปัญหาทางกฎหมาย ก็ไม่ควรสร้างภาระเพิ่ม และการกระทำก็ตรวจสอบย้อนกลับได้ อย่างที่สอง จะทำไปทำไม? จะไปทำลายผลงานของเพื่อนร่วมงานทำไม?